(19) 



J 



Europaisches Patentamt 
European Patent Office 
Office europeen des brevets 



(12) 



(11) EP 1 035 706 A2 

EUROPAISCHE PATENTANMELDUNG 



(43) Veroffenllichungstag: 

13.09.2000 Patentblatt 2000/37 

(21) Anmeldenummer: 99123626.6 

(22) Anmeldetag: 27.11.1999 



(51) Int CI 7: H04L 29/06 



(84) Benannte Vertragsstaaten: 


(71) Anmelder: Langner, Klaus, Dr. 


AT BE CH CY DE DK ES Fl FR GB GR IE IT LI LU 


52070 Aachen (DE) 


MC NL PT SE 


Benannte Erstreckungsstaaten: 


(72) Erfinder: Langner, Klaus, Dr. 


AL LT LV MK RO SI 


52070 Aachen (DE) 


(30) Prioritat: 03.02.1999 DE 19904270 


(74) Vertreter: Kohlmann, Kai, Dipl.-lng. 




Donatusstrasse 1 




52078 Aachen (DE) 



(54) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mlt 
einer Zugangskontrolle durch eine Benutzerkennung 



(57) Die Erfindung betrrfft ein Verfahren zum Verbin- 
den von mindestens zwei Netzwerkssegmenten eines 
Netzwerkes mit Hilfe eines eine Seriennummer aufwei- 
senden Datenubertragungsgerates, bei dem fur den Zu- 
griff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Ubertragung einer Benutzer- 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer ubertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- 
ten Benutzerkennung freigegeben wird. 

Urn bei einem derartigen Verfahren die Zugangs- 
kontrolle zu verbessern, wird erfindungsgemaG vorge- 



schlagen, dafi 

die Seriennummer in einem Speicherelement des 
Datenubertragungsgerat gespeichert ist, aus die- 
sem Speicherelement die Seriennummer von einer 
im Datenubertragungsgerat befindlichen Kommuni- 
kationssoftware ausgelesen und aus der Serien- 
nummer nach einem feststehenden Algorithmus ei- 
ne Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde Netz- 
werkssegment vor dem ersten Zugriff die Serien- 
nummer ubertragen wird und dort nach einem uber- 
einstimmenden Algorithmus wie in dem Datenuber- 
tragungsgerat eine Benutzerkennung erzeugt und 
in der Benutzerdatenbank abgespeichert wird. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Ver- 
binden von mindestens zwei Netzwerkssegmenten ei- 
nes Netzwerkes mit Hilfe eines eine eindeutige Serien- s 
nummer aufweisenden Daten u be rt rag ungsge rates mit 
einem Kommunikationsprogramm, das die Datenkom- 
rnunikation in dem Netzwerk abwickelt, bei dem fur den 
Zugriff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Ubertragung einer Benutzer- 10 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde- Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer ubertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- is 
ten Benutzerkennungfreigegeben wird. 

1. Hintergrund der Erfindung 

[0002] Einzelplatzsystem ist die Bezeichnung fur ein 20 
Computersystem, an dem im Gegensatz zu einem Netz- 
werk zur gleichen Zeit nur ein Benutzer arbeiten kann. 
Im Zuge der zunehmenden Bedeutung von Netzwerken 
ergeben sich Sicherheitsfragen, da in der Regel nicht 
jeder Benutzer auf alle Daten innerhalb eines Netz- 25 
werks zugreifen konnen soil. Ein Netzwerk besteht aus 
mehreren Netzwerkssegmenten, die untereinander, re- 
gelmaGig uber eine Leitung verbunden sind. Ein Netz- 
werkssegment kann ein LAN (Local Area Network), ein 
WAN (Wide Area Network) oder auch nur ein einzelner 30 
Personalcomputer sein. 

[0003] Die Nutzung einzelner Netzwerkssegmente ist 
oft mit der Zahlung eines Entgelts verknupft, so daG die 
Identitat des Benutzers zu Abrechnungszwecken fest- 
gestellt werden muG. Oblicherweise erfolgt die Zu- 3S 
gangskontrolle (Authentisierung) des Benutzers mit Hil- 
fe eines bekannten (offentlichen) Benutzernamens und 
eines (geheimen) PaGwortes (Benutzerkennung). 

Ablauf: 40 

[0004] 

a) Der Benutzer meldet sich durch Eingabe von Be- 
nutzernamen und PaGwort (Benutzerkennung) an 45 
dem entgeltpflichtigen Netzwerkssegment an. 

b) Im angesprochenen Netzwerkssegmentes wird 
mit Hilfe einer Benutzerdatenbank, die alle Benut- 
zernamen mit den dazugehorigen PaGwortern ent- so 
halt, gepruft, ob der Benutzer das gultige PaGwort 
eingegeben hat. 

Diese Benutzerdatenbank enthalt auGerdem 
eine Liste mit benutzerspezifischen Zugriffsrech- 
ten, die regeln, welcher Benutzer auf welche Daten- 55 
bestande wie zugreifen darf. 

c) Stimmt das eingegebene Paar Benutzername/ 



PaGwort mit den Eintragen in der Benutzerdaten- 
bank uberein, wird von dem Netzwerkssegment die 
Benutzung mit den in der Benutzerdatenbank fest- 
gelegten Zugriffsrechten freigegeben. 

d) Nach ausdrucklicher Abmeldung des Benutzers 
oder nach Ablauf einer bestimmten Zeit, in der kei- 
ne Eingaben des Benutzers erfolgen, sperrt das 
Netzwerkssegment die Benutzung wieder. 

2. Stand der Technik 

[0005] 

2.1 Dieses Verfahren zur Authentisierung der Be- 
nutzer wird in alien gangigen Betriebsystemen fur 
PC-basierende Netzwerke angewandt, z.B. Win- 
dows NT, Solaris, Linux. 

2.2 Der Nachteil des Verfahrens wird insbesondere 
bei wachsenden Benutzerzahlen im Netzwerk of- 
fenbar. Der systemseitige Verwaltungsaufwand in 
dem entgeltpflichtigen Netzwerkssegment steigt 
proportional mit der Anzahl der Benutzer dieses 
Netzwerksegments. Je hoher die Benutzerzahl ist, 
desto hoher wird auch die Wahrscheinlichkeit von 
Eingabefehlern, da moderne Betriebssysteme den 
Zugang zu dem Netzwerksegment nach einer vor- 
gegebenen Hochstzahl von erfolglosen Einloggver- 
suchen sperren. Dann muG der Administrator des 
Netzwerksegmentes tatig werden, urn den Benut- 
zer wieder freizuschalten und ihm eine neues 
PaGwort zuzuteilen. Dies kostet Zeit und erfordert 
personellen Aufwand. Dieser Effekt wird noch ver- 
starkt dadurch, daG sich durch die ansteigende Zahl 
von erforderlichen Administratoren zusatzliche 
Kommunikationsprobleme untereinander ergeben. 

Auf der Benutzerseite ergibt sich insbesondere 
fur die im Umgang mit Netzwerken unerfahrenen 
Benutzer das Problem, daG die ausgewahlte Nut- 
zerkennung fur den Zugang zum Netzwerk wieder- 
um in das eigene EDV-System vor miGbrauchlichen 
Fremdzugriffen und fur den Fall von Datenverlust, 
beispielsweise aufgrund eines "Systemabsturzes" 
geschutzt gespeichert werden muG. 

Im Ergebnis stellt sich fur diese Benutzergrup- 
pe die moderne Netzwerktechnik oft als zu komplex 
und nicht handhabbar dar. Da aber das mit weitem 
Abstand wichtigste Netzwerk der Gegenwart - das 
Internet - eine bedeutende Quelle des Wissens und 
ein fur Unternehmen und Privatpersonen immer 
wichtiger werdendes Kommunikationsmittel ist, er- 
gibt sich das Bedurfnis die Nutzung zu vereinfachen 
und damit auch unerfahrenen Benutzern zu eroff- 
nen. 

2.3 Bisherige Losungsversuche konnen auf die un- 
ter 1 . beschriebene Authentisierung nicht verzich- 
ten, sei es durch direkte Eingabe der Nutzerken- 
nung oder durch indirekte Eingabe, z.B. mittels ei- 
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ner Codecarte, die in ein Kartenlesegerat gescho- 
ben werden muB. Die bekannten Losungen basie- 
rendaher Oberwiegendauf einem belehrenden An- 
satz. Der Benutzer wird, in der Regel im Benut- 
zungsvertrag, auf die Wichtigkeit der Benutzerna- 5 
me/PaBwort-Kombination (Benutzerkennung), die 
Notwendigkeit der Geheimhaltung sowie die rndg- 
lichen Folgen bei Nichtbeachtung hingewiesen. 

Die Erfahrung zeigt,.daB der. Benutzungsver- 
trag kaum bzw. nur sehr oberflachlich gelesen und 10 
dessen Inhalt schnel! wieder vergessen wird. Der 
Verlust der Nutzerkennung wird durch die heutigen 
- - Betriebssysteme y die die Nutzerkennung unsicht- 
barspeichern, sogar noch begunstigt. Gent die Nut- 
zerkennung beispielsweise durch eine defekte is 
Festplatte verloren, werden die Betreibervon Netz- 
werken, insbesondere entgeltpflichtigen Netz- 
werkssegmenten, z.B. Internet-Provider, regelma- 
Big mit Anfragen von Benutzern konfrontiert, die ih- 
re Nutzerkennung vergessen haben und daher ein 20 
neues PaBwort benotigen. 
2.4 Als Alternative zu der Authentisierung der Be- 
nutzerkennung durch Datenbankvergleich ist eine 
auch als Dongle oder Kopierschutzstecker bezeich- 
nete Vorrichtung bekannt, in der ein Code dauerhaft 2s 
gespeichert ist, der allgemeine oder spezifische Be- 
nutzerdaten enthalt. Der Dongle muB an dem PC 
des jeweiligen Benutzers angeschlossen werden. 
Damit der Benutzer auf Programme innerhalb eines 
Netzwerks zugreifen kann, fragt das Programm zu- 30 
nachst den im Dongle gespeicherten Code ab. Die- 
ses Verfahren wurde in der Vergangenheit insbe- 
sondere als Software-Kopierschutz eingesetzt. Zu 
den hohen Kosten fur Dongles kommen auch noch 
andere Nachteile hinzu. : Will man fur den Zugang 35 
zu einem Netzwerkssegment einen anderen Perso- 
nalcomputer benutzen, muB man das Dongle ab- 
schrauben und erneut montieren. AuBerdem ist 
nicht gewahrleistet, daB Dongles mit jeder Hard- 
ware funktionieren. Fur moderne Zugangskontrol- 40 
len ist der Dongle daher unbrauchbar und befindet 
sich auch als Kopierschutz auf dem Ruckzug. 

3. Aufgabe 

45 

[0006] Ausgehend von diesem Stand der Technik 
liegt der Erfindung daher die Aufgabe zugrunde, ein Ver- 
fahren zum Verbinden von mindestens zwei Netzwerk- 
segmenten mit verbesserterZugangskontrolle zu schaf- 
fen. so 

4. Erfindungsbeschreibung 
[0007] 

55 

4.1 Die Verfahren zur Zugangskontrolle von Benut- 
zern eines ersten Netzwerksegmentes (Client), z. 
B. ein einzelner Personalcomputer, zu einem Netz- 



werkssegment (Server), z.B. ein Zugangsrechner 
eines Internet-Providers, mittels einer Benutzer- 
kennung sind praktisch fur samtliche Netzarten ein- 
heitlich. Die Erfindung setzt daher auf der Benutzer- 
seite an. 

Als Kopplungselement zwischen den Netz- 
werkssegmenten wird ublicherweise ein sog. Rou- 
ter (Gateway) eingesetzt. Dieser authentisiert sich 
wie ublich mit Hilfe einer Benutzerkennung bei dem 
mit ihm gekoppelten Netzwerkssegment. Die vor- 
liegende Erfindung macht sich nun die Tatsache zu- 
nutze, daB Router einzelner Hersteller eine eindeu- 
tige Seriennummer besitzen, die in einem nicht- 
fluchtigen Speicherelement gespeichert wird. Die- 
ser Speicher kann von der im Router befindlichen 
Kommunikationssoftware ausgelesen werden. Ei- 
ne miBbrauchliche Verwendung einer Seriennum- 
mer ist praktisch ausgeschlossen, da sie die Kennt- 
nis der Vergabe von Seriennummern beim Herstel- 
ler voraussetzt. Somit ist eine genugend hohe Si- 
cherheit gegen Fremdeingriffe gegeben. 

Die Kommunikationssoftware des Routers ist 
erfindungsgemaB urn einen feststehenden Algo- 
rithmus erweitert, der aus der eindeutigen Serien- 
nummer eine ebensoeindeutige Benutzerkennung, 
insbesondere aus Benutzername und PaBwort er- 
zeugt. Dem Betreiberdesdie Eingabe einer Nutzer- 
kennung erfordernden Netzwerksegmentes ist die- 
ser feststehende Algorithmus ebenfalls bekannt. 

4.2 Im einzelnen wird die Aufgabe durch die Merk- 
male des Anspruchs 1 gelost. Aus der Seriennum- 
mer des Datenubertragungsgerates, insbesondere 
Routers, wird die Benutzerkennung, insbesondere 
aus einem Benutzername sowie einem eindeutigen 
und nicht reversibel entschlusselbaren PaBwort, 
mit Hilfe des Algorithmus erzeugt. 

AuBerdem wird die Seriennummer an das eine 
Benutzerkennung erfordernde Netzwerkssegment 
vor dem ersten Zugriff ubertragen und dort nach 
demselben Algorithmus wie in dem Datenubertra- 
gungsgerat eine Benutzerkennung erzeugt und in 
der Benutzerdatenbank abgespeichert. 

Die Geheimhaltung beschrankt sich somit auf 
die unmittelbar betroffenen Mitarbeiter von Router- 
Hersteller und dem Betreiber des die Eingabe einer 
Benutzerkennung erfordernden Netzwerksegmen- 
tes. 

Zur Erzeugung des nicht reversibel entschlus- 
selbaren PaBwortes aus der Seriennummer wird 
vorzugsweise als Algorithmus eine Hashfunktion, 
insbesondere die Hashfunktion MD5 verwendet. 
Der "Message Digest 5 M Algorithmus wurde von R. 
Rivest und S. Dusse als komplexe one-way-Hash- 
funktion entwickelt. 

Fur den Fall, daB unbefugten Dritten doch ein- 
mal eine Benutzerkennung bekannt wird, besteht 
die Moglichkeit, im Router eine neue Benutzerken- 
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nung entsprechend den Merkmalen des Anspruchs 
5 unabhangig von der auf der Basis der Seriennum- 
mer rechnenden Kommunikationssoftware zu hin- 
terlegen, indem derAnwender uber das Konfigura- 
tionsprogramm des Routers eine neue Nummer ge- 5 
neriert. 

4.3 Der mit dem erfindungsgemaBen Verfahren er- 
zielbare Vorteil besteht darin, daB der Benutzer kei- 
nerlei Eingriffe am Router vornehmen muB. Es ge- 10 
nugt, an den Betreiber des die Eingabe einer Be- 
nutzerkennung erfordernden, insbesondere ent- 
geltpflichtigen Netzwerksegmentes, z.B. einen In-, 
ternet-Provider, die Seriennummer des Routers zu 
Obertragen. Diese ist auf jedem Router aufge- 1& 
druckt. 

AuBerdem erhoht das Verfahren auch die Si- 
cherheit gegen das Ausspionieren von Benutzer- 
kennungen, da deren Einzelheiten auf keinem Do- 
kument mehr f estgehalten werden mussen (z.B. auf 20 
einem Telefax an den Netzwerkbetreiber) und somit 
nicht von Unbefugten eingesehen werden konnen. 

Durch die Einfachheit des Verfahrens fur den 
Benutzer erhoht sich deutlich die Akzeptanz zur 
Nutzung von insbesondere kostenpflichtigen Netz- 25 
werkssegmenten, z.B. urn uber einen Zugangs- 
rechner eines Internet-Providers eine Verbindung 
zum .Internet aufzubauen. Durch das vereinfachte 
Zugangsverfahren und den Wegfall des mit der Ge- 
heimhaltung des PaBwortes verbundenen Verwal- 30 
tungsaufwandes wird einem deutlich groBeren Be- 
nutzerkreis der einfache Zugang zu einzelnen Netz- 
werkssegmenten, insbesondere dem Internet er- 
moglicht. 



Patentanspruche 

1. Verfahren zum Verbinden von mindestens zwei 
Netzwerkssegmenten eines Netzwerkes mit Hilfe *o 
eines eine eindeutige Seriennummeraufweisenden 
Datenubertragungsgeratesmit einem Kommunika- 
tionsprogramm, das die Datenkommunikation in 
dem Netzwerk abwickelt, bei dem fur den Zugriff auf 
mindestens ein Netzwerkssegment mit einer Benut- 45 
zerdatenbank die Ubertragung einer Benutzerken- 
nung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benut- 
zerkennung erfordernde Netzwerkssegment bei 
Ubereinstimmung der vom Benutzer ubertragenen so 
Benutzerkennung mit der in der Benutzerdaten- 
bank gespeicherten Benutzerkennung freigegeben 
wird, dadurch gekennzeichnet, daB 

die Seriennummer in einem nichtfluchtigen 55 
Speicherelement des Datenubertragungsgerat 
gespeichert ist, aus diesem Speicherelement 
die Seriennummer von der im Datenubertra- 



gungsgerat befindlichen Kommunikationssoft- 
ware ausgelesen und aus der Seriennummer 
nach einem feststehenden Algorithmus eine 
Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde 
Netzwerkssegment vor dem ersten Zugriff die 
Seriennummer Obertragen wird und dort nach 
einem ubereinstimmenden Algorithmus wie in 
dem Datenubertragungsgerat eine Benutzer- 
kennung erzeugt und in der Benutzerdaten- 
bankabgespeichert wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB ein Router als Datenubertragungs- 
gerat verwendet wird. 

3. Verfahren nach Anspruch 1 Oder 2, dadurch ge- 
kennzeichnet, daB die Benutzerkennung aus ei- 
nem Benutzernamen sowie einem nicht reversibel 
entschlusselbaren PaBwort besteht. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB zumindest zur Erzeugung des nicht 
reversibel entschlusselbaren PaBwortes aus der 
Seriennummer eine Hashfunktion, insbesondere 
die Hashfunktion MD5 verwendet wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB 

der Anwender uber das Konfigurations-Pro- 
gramm des Datenubertragungsgerates eine 
neue Nummer generieren kann, die die Serien- 
nummer des Datenubertragungsgerates er- 
setzt, 

von der im Datenubertragungsgerat befindli- 
chen Kommunikationssoftware aus der neuen 
Nummer nach dem feststehenden Algorithmus 
eine neue Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde 
Netzwerkssegment vor dem ersten Zugriff mit 
der neuen Benutzerkennung die neue Nummer 
Obertragen wird und dort nach dem Oberein- 
stimmenden Algorithmus wie in dem Daten- 
ubertragungsgerat eine neue Benutzerken- 
nung erzeugt und in der Benutzerdatenbank 
abgespeichert wird. 



